ComputerBase Menü
Aktuelles

News Sicherheit: WinRAR kann gefährliche SFX-Archive erzeugen

Bei Heise gab es ein Update. :D
[UPDATE, 28.09.2015 17:15 Uhr]

Es handelt sich dabei nicht um eine Sicherheitslücke, sondern um ein dokumentiertes Merkmal des SFX-Moduls. Die Entwickler von WinRAR sehen demnach keinen Grund, das Nachladen von Exe-Dateien aus dem Web zu verhindern. Wie bei anderen Exe-Dateien auch, müssen Nutzer bei der Ausführung aufpassen, ob die Datei aus einer vertrauenswürdigen Quelle stammt, erklären die Entwickler.
Zum Vergrößern anklicken....
 
Jesterfox schrieb:
Ist nicht gesagt, oft lassen sich auch SFX per 7zip (oder anderem Archivierer) direkt öffnen. Man muss aber erst auf die Idee kommen das so zu probieren ;-)
Zum Vergrößern anklicken....
Dasselbe kannst du aber auch mit WinRAR 5.21 machen und du wirst keine Sicherheitsprobleme haben. Durch 7Zip hast du in diesem Fall keinerlei Vorteil. ;)
 
Ich hab 7z erwähnt weil ich den normalerweise benutze und Aslo es auch erwähnte. Hab ja in klammern dazugeschrieben das es auch mit anderen geht. WinZIP kann das auch (meistens waren es aber WinZIP SFXe die ich per 7z aufgemacht hab ;-)
 
serval schrieb:
Ich verstehe das Problem nicht.

Ein Angreifer kann ein selbstextrahierendes rar-archiv mit Namen irgendwas-archiv.exe bauen das Schadcode ausführt.
Aber kann ein Angreifer nicht einfach auch wie bisher seine virus.exe umbenennen in irgendwas-archiv.exe mit dem gleichen Ergebnis, daß ein Anwender, der die Datei ausführt, danach den Virus hat?

Da ändert sich doch für den Anwender de facto nichts?
Zum Vergrößern anklicken....

So wie ich das verstanden habe gibt es einen gewaltigen Unterschied. Wenn man deinen Virus.exe untersucht findet man hier einen Virus. Untersucht man das Archiv findet man nichts da der Virus ja erst noch Automatisch geladen wird.
 
homerpower schrieb:
So wie ich das verstanden habe gibt es einen gewaltigen Unterschied. Wenn man deinen Virus.exe untersucht findet man hier einen Virus. Untersucht man das Archiv findet man nichts da der Virus ja erst noch Automatisch geladen wird.
Zum Vergrößern anklicken....

Das heißt also, wenn virus.exe auch einfach nur Schadcode nachlädt, statt ihn direkt aus zuführen, dann wird es auch nicht entdeckt? Du siehst, man braucht kein WinRAR um Schadcode auszuführen und/oder zu verschleiern.

Wenn du eine dubiose exe ausführst, hast du verloren. Immer! Dazu brauchst du kein WinRAR.

Außerdem könnte ein Virenscanner den Nachlade-Code im WinRAR-Archiv natürlich genau so erkennen, wie es das in Virus.exe tut (nämlich sehr schlecht und und unzuverlässig. Darum taugen Virenscanner auch nicht viel. Sie helfen idR erst, wenn das Kind schon im Brunnen liegt).
 
Cool Master schrieb:
Und dein Programm kann keine Zip erstellen?
Zum Vergrößern anklicken....
Doch, aber schon einmal verschiedene Versionen eines großen Office Dokuments mit Zip und einmal mit 7z gepackt? Solange man das Compression Window bei 7z gross genug stellt liegen teilweise Welten zwischen den Ergebnissen. Zip scheint jede Datei einzeln zu packen, 7z packt die erste besser wie Zip und bei den folgenden nur noch die Differenz und die auch noch gepackt. Und ich versende teilweise echte Excel/Word Monster mit Versionen.
 
Mextli schrieb:
Ich mag sfx Archive! Zu viele die ich kenne nutzen nur WinZip. Da mach ich lieber mit 7z ein sfx und schick denn was kleines, als mir Winzip anzutun.
Zum Vergrößern anklicken....
Naja, da Windows nun ja alle .zip archive automatisch öffnen kann ohne irgendwie WinZip installieren zu müssen ist .zip schon praktisch und sfx nur noch für ältere versionen notwendig.


wupi schrieb:
Bei Heise gab es ein Update. :D
Es handelt sich dabei nicht um eine Sicherheitslücke, sondern um ein dokumentiertes Merkmal des SFX-Moduls. Die Entwickler von WinRAR sehen demnach keinen Grund, das Nachladen von Exe-Dateien aus dem Web zu verhindern. Wie bei anderen Exe-Dateien auch, müssen Nutzer bei der Ausführung aufpassen, ob die Datei aus einer vertrauenswürdigen Quelle stammt, erklären die Entwickler.
Zum Vergrößern anklicken....

Also geplant war das ursprünglich das wenn man installer runter lädt die direkt ins web gehen und checken ob ein Update vorhanden ist, dann dieses Herunterladen und installieren?
Oder eher im Sinne wie ver Firefox Installer wo man die installer Exe runterlädt, diese ausführt und die sich dann einfach wieder Stinkfrech mit dem Internet verbindet und die neuste version Runterlädt.
 
"Mit WinRAR können gefährliche SFX-Archive erzeugt werden"

Also dieser "Journalismus" ist ja schon fast peinlich..

Diese "Gefahr" besteht schon seit dem überhaupt SFX-Archive erzeugt werden können. Das ist nicht neu, das ist nicht seit irgend einer Version so, - geschweige denn eine News Wert. Mit SFX-Archiven lassen sich sämtliche mitunter schädlicher Code ausführen. Ausführbare Dateien generell können schädlichen Code beinhalten. Ob das jetzt in der oder der Variation geschieht ist ziemlich unerheblich. Dann noch im Titel winrar zu verteufeln weil es diese ja erstellen kann... - Ohman.

Also von einen Redaktuer in der IT-Branche hätte ich ein wenig mehr erwartet...
 
Jesterfox schrieb:
...oder ob das SFX eine im Archiv enthaltene EXE automatisch nach dem Entpacken ausführt, was ein offizielles Feature von WinRAR ist.
Zum Vergrößern anklicken....

Eben, das gibt es schon seit einer Ewigkeit.
Wer SFX-Dateien ausführt, sollte genau wissen, wo die her kommt. Da sind die Benutzerrechte auch egal, weil es genug Lücken gibt, über die man Systemrechte erlangen kann.
Der Vorteil der Attacke über HTML ist einzig, dass man den Schadcode immer schön aktualisieren kann
 
mr_andersson schrieb:
Der Vorteil der Attacke über HTML ist einzig, dass man den Schadcode immer schön aktualisieren kann
Zum Vergrößern anklicken....
Das macht praktisch jede Malware sowieso schon. Kommunikation mit der Malware (Botnetze, Passwörter abgreifen) hat heutzutage höchste Priorität bei der Entwicklung von Malware. Niemand wird ernsthaft dieses Problem ausnutzen. Es gibt dutzende etablierte Möglichkeiten die genau dasselbe viel einfacher erfüllen. Ein Vorteil bei der Virenscanner Entdeckung besteht ebenso nicht. Einen Virenscanner auszutricksen ist super einfach, selbst mit schlecht verstecktem bösartigen Code. Tatsächlich ist es erschreckend einfach.
 
Mextli schrieb:
Doch, aber schon einmal verschiedene Versionen eines großen Office Dokuments mit Zip und einmal mit 7z gepackt? Solange man das Compression Window bei 7z gross genug stellt liegen teilweise Welten zwischen den Ergebnissen. Zip scheint jede Datei einzeln zu packen, 7z packt die erste besser wie Zip und bei den folgenden nur noch die Differenz und die auch noch gepackt. Und ich versende teilweise echte Excel/Word Monster mit Versionen.
Zum Vergrößern anklicken....

Joar haben wir auch aber bei 400 MBit Up und Download spielt es keine Rolle ob das nun 1-2 MB mehr hat ;)
 
Man, wie blöde muss man sein, und den Kiddies gleich noch eine Videoanleitung zum selbst ausprobieren zu hinterlassen, gerade da viele nach der Schule vor Dummheit eh nichts wissen mit sich anzufangen. Man, entfernt das Video am besten!
 
Damit man es über Google und Youtube findet :rolleyes:

Am besten warnst du auch noch von den Spätfolgen der Onanie...
 
Olit72 schrieb:
Man, wie blöde muss man sein, und den Kiddies gleich noch eine Videoanleitung zum selbst ausprobieren zu hinterlassen, gerade da viele nach der Schule vor Dummheit eh nichts wissen mit sich anzufangen. Man, entfernt das Video am besten!
Zum Vergrößern anklicken....
Also selbst da gibt es ein dutzend leichtere Methoden schädliche Software herzustellen als diese sinnlose SFX "Lücke" auszunutzen...Es gibt sicherlich ein dutzend GUI Tools mit denen man seinen eigenen Bot zusammenklicken kann und gleich als Payload an irgendeine ausführbare Datei anhängen kann. EXE Dateien sind by design manipulierbar, daher ist das "Aufdecken" dieser "Lücke" völlig sinnlos gewesen. Verschenkte Arbeitszeit dieses "Sicherheitsforschers".

ACHTUNG ACHTUNG: Schwere Sicherheitslücke in Visual Studio von Microsoft entdeckt. Sicherheitsforscher haben herausgefunden, dass man mit Visual Studio Schadsoftware erstellen kann!!!! Selbst die neuste Version 2015 ist betroffen!!! Wird Microsoft nachbessern?!??
 
Zuletzt bearbeitet:
Stricknadeln können Tödlich sein.

Sorry aber was ist das den für eine Meldung?
Man sollte doch zwischen Meldung und Spam unterscheiden oder nicht?
 
Aus dem WinRAR 5.30 beta 5 changelog:

Information about the critical vulnerability in WinRAR self-extracting
archives recently published in news is incorrect. Unfortunately
mass media failed to recognize that what was described as WinRAR
vulnerability is Windows OLE vulnerability patched in November 2014:

https://technet.microsoft.com/en-us/library/security/ms14-064.aspx

Even if unpatched, this Windows OLE vulnerability does not introduce
new risk factors for WinRAR SFX archives.

Please read http://rarlab.com/vuln_sfx_html2.htm for more details.

No patches for WinRAR are needed.
Zum Vergrößern anklicken....
 
Also ist mal wieder der IE schuld...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz